Cyberveilig Nederland heeft gereageerd op de internetconsultatie van de Verordening Cyberweerbaarheid. Deze inbreng is tot stand gekomen met input van de werkgroep Public Affairs.
Cyberveilig Nederland (CVNL) heeft met veel belangstelling de concept Verordening Cyberweerbaarheid/Cyber Resilience Act (CRA) gelezen. De CRA introduceert cybersecurityeisen voor alle producten met digitale elementen. Hierbij gaat het om hardware, software en losse componenten die vanaf 11 december 2027 in de Europese Unie op de markt worden aangeboden. Vanaf 11 september 2026 geldt voor fabrikanten van deze producten een meldplicht bij actief uitgebuite kwetsbaarheden en ernstige incidenten. De verordening heeft rechtstreekse werking en wordt dus niet omgezet in nationale wetgeving.
CVNL staat zeer positief over de CRA gezien het gegeven dat veel hard- en software kwetsbaarheden bevat die organisaties kan raken in hun cybersecurity, terwijl de dreigingen alleen maar toenemen. Vanuit CVNL zijn we dan ook een groot voorstander dat kwetsbaarheden tijdig worden gemeld en opgelost, hetgeen de verordening voorstaat.
Echter in de verordening worden geen waarborgen ingebouwd of deze informatie over kwetsbaarheden ook gebruikt kunnen worden door veiligheids- en inlichtingendiensten ten behoeve van hun offensieve cyberprogramma’s. Wij snappen dat in het huidige (geopolitieke) bestel de inzet van de diensten nodig is. Echter we zien het ook als zorgelijk dat deze waarborgen niet zijn verankert in de CRA, omdat wij menen dat dit kan leiden tot een mindere bereidheid tot het delen van kwetsbaarheden, danwel dat er minder (relevante) informatie over een kwetsbaarheid wordt gemeld indien deze informatie hiervoor ingezet kan worden. Daarom vraagt CVNL voor extra waarborgen in de CRA omtrent dit punt.
Onze ingediende reactie op de internetconsultatie is hier te vinden.
